加密货币平台3Commas承认:黑客窃取了API密钥
2023-1-5 12:8:8 Author: 嘶吼专业版(查看原文) 阅读量:11 收藏

一位匿名的推特用户近日公布了一组据称从3Commas加密货币交易平台获得的10000个API密钥。

3Commas机器人程序使用这些API密钥,通过与诸多加密货币交易所进行交互为客户创造利润,不需要帐户凭据,即可代表用户执行自动化的投资和交易操作。

这名推特用户声称,泄露的API密钥只是他们持有的10万个API密钥当中的10%,并表示他们计划在接下来的几天悉数公布。

3Commas调查了泄露的数据,近日确认文件包含有效的API密钥。因此,该平台现在敦促所有支持的交易所吊销所有与3Commas关联的密钥,包括库币(Kucoin)、Coinbase和币安(Binance)。

图1

建议用户在所有关联的交易所上自行重新分发密钥,并联系3Commas支持人员,根据具体情况获得后续行动方面的建议。

此外该平台声称,它已经调查了泄漏系内鬼作案的可能性,但没有发现这方面的任何证据。

3Commas在推特上宣称:“只有一小部分的技术员工访问了基础设施;自11月19日以来,我们已经采取措施取消了他们的访问权限。”

该公司补充道:“从那时起,我们实施了新的安全措施,我们不会就此止步;我们正在展开全面调查,执法部门将参与其中。”

遗憾的是,3Commas花了很长时间才确认这起泄密事件;在过去几个月里,许多用户的账户似乎未经授权进行了交易,他们已经损失了资金。

12月28日,加密货币交易所币安首席执行官赵长鹏在推特上对其800万粉丝表示,他对该平台上发生的API密钥泄露一事“相当乐观”。他还对那些因本月早些时候3Commas API密钥泄露而蒙受经济损失的人寄予同情。但他已经建议该服务的客户停止使用。

图2

赵长鹏的爆料发生在12月9日的事件之后,当天币安暂停了一位前一天抱怨赔钱的用户的账户。该用户声称“低上限币的交易以推高价格从而获利”是使用被盗的3Commas API密钥进行的。币安表示,他们不会向该用户补偿损失。

12月11日,3Commas首席执行官Yuriy Sorokin在企业博客上声称,推特和YouTube上疯传的屏幕截图显示,该公司的安全措施不到位,员工在获取API密钥。Sorokkin对这些截图进行了彻底的技术调查,驳斥了这些说法。

首次传闻通过3Commas触发未经授权的交易出现在2022年10月,近几周更是甚嚣尘上。

11月,大量加密货币的持有者报告称,在3Commas以某种方式泄露用户凭据后,他们损失了价值大约600万美元的加密货币。

在这段时间里,这个交易平台拒绝考虑泄密的可能性,表示报告这些问题的用户肯定是网络钓鱼攻击的受害者,或者使用了非官方的木马应用程序。

2022年12月10日,在随后陆续有人声称使用泄露的API密钥进行未经授权交易之后,3Commas发布了一份调查最新通报,声称没有发现其系统遭到攻击的证据。

第二天,该平台发布了一篇新文章,驳斥了其员工窃取用户API密钥以盗取用户资产的说法。

3Commas用户声称存在未经授权的交易,却遭到该公司的断然拒绝,如今他们要求全额退款。

截至发稿时,3Commas尚未就可能的赔偿做出任何声明。IT安全外媒BleepingComputer已经联系该公司澄清这方面的问题,正在等待对方回复。

参考及来源:

https://www.bleepingcomputer.com/news/security/crypto-platform-3commas-admits-hackers-stole-api-keys/

https://informationsecuritybuzz.com/3commas-confirms-report-massive-key-leaked/


文章来源: http://mp.weixin.qq.com/s?__biz=MzI0MDY1MDU4MQ==&mid=2247556045&idx=3&sn=07895b3fca827230258feb27b2e44780&chksm=e915cbf7de6242e1dce1c3b97bfc332cefea184422545f214fb3c66ecadb2ab55fd4215c2721#rd
如有侵权请联系:admin#unsafe.sh